Die berüchtigte nordkoreanische staatlich unterstützte Hackergruppe Lazarus hat vier Pakete auf das Python Package Index (PyPI) Repository hochgeladen, um Entwicklersysteme mit Malware zu infizieren. Die Pakete mit den Namen pycryptoenv, pycryptoconf, quasarlib und swapmempool, die mittlerweile entfernt wurden, wurden insgesamt 3.269 Mal heruntergeladen, wobei pycryptoconf mit 1.351 Downloads am meisten heruntergeladen wurde.
Die Paketnamen pycryptoenv und pycryptoconf wurden absichtlich so gewählt, um Nutzerfehler beim Installieren von Python-Paketen auszunutzen. In einem ähnlichen Fall entdeckte Phylum kürzlich mehrere schädliche Pakete im npm-Repository, die Softwareentwickler im Rahmen einer Kampagne namens Contagious Interview ins Visier nahmen.
Interessanterweise sind beide Angriffsszenarien durch versteckten bösartigen Code in einem Testskript („test.py“) gekennzeichnet. In diesem Fall verbirgt sich hinter der Testdatei jedoch eine XOR-codierte DLL-Datei, die dann zwei DLL-Dateien namens IconCache.db und NTUSER.DAT erstellt. Die NTUSER.DAT-Datei wird verwendet, um IconCache.db zu laden und auszuführen, was eine Verbindung zu einem Command-and-Control (C2) Server herstellt, um eine Windows-Exe-Datei auszuführen.
JPCERT/CC gab an, dass diese Pakete Teil einer Kampagne sind, die Phylum erstmals im November 2023 beschrieben hat, bei der crypto-thematische npm-Module zum Bereitstellen von Malware namens Comebacker genutzt wurden. Durch das Zielen auf Nutzerfehler beim Installieren von Modulen können Angreifer die Malware auf infizierte Systeme herunterladen. Es wird empfohlen, beim Installieren von Modulen und Software in Entwicklungsumgebungen besonders vorsichtig zu sein, um das Installieren unerwünschter Pakete zu vermeiden.